Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Zero Trust è una strategia di sicurezza. Non è un prodotto o un servizio, ma un approccio nella progettazione e nell'implementazione del set di principi di sicurezza seguente.
| Principio | Descrizione |
|---|---|
| Verificare in modo esplicito | Autenticare e autorizzare sempre in base a tutti i dati disponibili. |
| Usare l'accesso con privilegi minimi | Limitare l'accesso degli utenti con just-In-Time e just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. |
| Presupporre una violazione | Ridurre al minimo il raggio di esplosione e segmentare l'accesso. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, favorire il rilevamento delle minacce e migliorare le difese. |
Questi principi sono il nucleo di Zero Trust. Invece di credere che tutto dietro il firewall aziendale sia sicuro, il modello Zero Trust presuppone la violazione e verifica ogni richiesta come se provenisse da una rete non controllata. Indipendentemente dalla posizione di origine della richiesta o dalla risorsa a cui accede, il modello Zero Trust ci insegna a "non considerare mai attendibile, verificare sempre".
Zero Trust è progettato per adattarsi alle complessità dell'ambiente moderno che abbraccia la forza lavoro mobile. Zero Trust protegge account utente, dispositivi, applicazioni e dati ovunque si trovino.
Un approccio Zero Trust deve estendersi in tutta l'organizzazione e fungere da filosofia di sicurezza integrata e strategia end-to-end.
Requisiti organizzativi diversi, implementazioni tecnologiche esistenti e fasi di sicurezza influiscono su come viene pianificata ed eseguita un'implementazione del modello di sicurezza Zero Trust. Le linee guida consentono di valutare l'idoneità per Zero Trust e di creare un piano per raggiungere Zero Trust. Le linee guida si basano sulla nostra esperienza per aiutare i clienti a proteggere le organizzazioni e implementando il nostro modello Zero Trust per noi stessi.
Con Zero Trust, si passa da una prospettiva di fiducia per impostazione predefinita a una fiducia per eccezione. Una funzionalità integrata per gestire automaticamente tali eccezioni e avvisi è importante. È possibile rilevare più facilmente le minacce, rispondere alle minacce e impedire o bloccare eventi indesiderati nell'organizzazione.
Zero Trust e l'ordine esecutivo degli Stati Uniti 14028 sulla cybersecurity
L'ordine esecutivo degli Stati Uniti 14028, Migliorando la sicurezza informatica della nazione, indirizza le agenzie federali sull'avanzamento delle misure di sicurezza che riducono drasticamente il rischio di attacchi informatici riusciti contro l'infrastruttura digitale del governo federale. Il 26 gennaio 2022, l'Ufficio di gestione e budget (OMB) ha rilasciato la strategia federale Zero Trust nel memorandum 22-09, a supporto dell'Ordine Esecutivo 14028. Microsoft fornisce indicazioni per aiutare le organizzazioni a soddisfare questi requisiti: soddisfare i requisiti di identità del memorandum 22-09 con Microsoft Entra ID.
Zero Trust e Microsoft Secure Future Initiative (SFI)
L'iniziativa SFI (Secure Future Initiative) di Microsoft, lanciata a novembre 2023, è un impegno multianno che avanza nel modo in cui Microsoft progetta, compila, testa e gestisce la nostra tecnologia Microsoft per garantire che le nostre soluzioni soddisfino i più elevati standard possibili per la sicurezza. L'iniziativa Secure Future Initiative di Microsoft è, in gran parte, un'implementazione rigida di Zero Trust per il nostro ambiente unico per migliorare il nostro comportamento di sicurezza.
Per altre informazioni su SFI, vedere il sito Web Secure Future Initiative.
Set di documentazione
Seguire questa tabella per i set di documentazione Zero Trust migliori per le proprie esigenze.
| Set di documentazione | Ti aiuta... | Ruoli |
|---|---|---|
| Framework di adozione per la guida su fasi e passaggi per le principali soluzioni e risultati aziendali | Applicare protezioni Zero Trust dalla suite C all'implementazione IT. | Architetti della sicurezza, team IT e project manager |
| Risorsa di valutazione e rilevamento dello stato | Valutare l'idoneità dell'infrastruttura e tenere traccia dello stato di avanzamento. | Architetti della sicurezza, team IT e project manager |
| Kit partner di Zero Trust | Risorse di tracciamento, workshop e illustrazioni di architettura co-branded | Partner e architetti della sicurezza |
| Distribuzione dei pilastri tecnologici per le informazioni concettuali e gli obiettivi di distribuzione | Applicare protezioni Zero Trust allineate alle aree tecnologiche IT tipiche. | Team IT e personale addetto alla sicurezza |
| Zero Trust per le piccole imprese | Applicare i principi Zero Trust ai clienti di piccole imprese. | Clienti e partner che collaborano con Microsoft 365 per le aziende |
| Zero Trust per Microsoft Copilots per indicazioni dettagliate e progressive sulla progettazione e la distribuzione | Applicare protezioni Zero Trust a Microsoft Copilots. | Team IT e personale addetto alla sicurezza |
| piano di distribuzione Zero Trust con Microsoft 365 per istruzioni dettagliate e passo passo sulla progettazione e distribuzione | Applicare protezioni Zero Trust all'organizzazione di Microsoft 365. | Team IT e personale addetto alla sicurezza |
| Risposta agli eventi imprevisti con XDR e SIEM integrato | Impostare gli strumenti XDR e integrarli con Microsoft Sentinel | Team IT e personale addetto alla sicurezza |
| Zero Trust per i servizi di Azure per indicazioni dettagliate sulla progettazione e sulla distribuzione | Applicare protezioni Zero Trust ai carichi di lavoro e ai servizi di Azure. | Team IT e personale addetto alla sicurezza |
| integrazione di Partner con Zero Trust per linee guida di progettazione per aree tecnologiche e specializzazioni | Applicare protezioni Zero Trust alle soluzioni cloud Microsoft partner. | Sviluppatori partner, team IT e personale addetto alla sicurezza |
| Sviluppare usando i principi Zero Trust per linee guida e procedure consigliate per lo sviluppo di applicazioni | Applicare protezioni Zero Trust all'applicazione. | Sviluppatori di applicazioni |
| Linee guida del governo degli Stati Uniti per CISA, DoD e il Memorandum per l'architettura Zero Trust | Raccomandazioni prescrittive per i requisiti del governo degli Stati Uniti | Architetti IT e team IT |
Formazione consigliata
| Formazione | Introduzione a Zero Trust |
|---|---|
|
Usare questo modulo per comprendere l'approccio Zero Trust e come rafforza l'infrastruttura di sicurezza all'interno dell'organizzazione. |
| Formazione | Introduzione a Zero Trust e framework di procedure consigliate |
|---|---|
|
Usare questo modulo per informazioni sulle procedure consigliate che gli architetti della cybersecurity usano e alcuni framework di procedure consigliate principali per le funzionalità di cybersecurity Microsoft. Si apprenderà anche il concetto di Zero Trust e come iniziare a usare Zero Trust nell'organizzazione. |
Passaggi successivi
Informazioni sul framework di adozione di Microsoft Zero Trust.
Collegamenti correlati:
Panoramica di Zero Trust: questo video fornisce informazioni su:
- Definizione "Zero Trust"
- Principi zero trust
- Concetti fondamentali di Zero Trust
Zero Trust - The Open Group: Questo video offre la prospettiva di un'organizzazione di standardizzazione su Zero Trust.